Шрифт:
Интервал:
Закладка:
1. Обеспечение круглосуточного мониторинга (fraud-monitoring) транзакций. Исключительные полномочия по выполнению этой функции должны быть возложены на конкретные подразделения.
2. Использование для банковских карт процедуры дополнительного подтверждения интернет-транзакций по протоколу 3-D Secure, MasterCard Security Code (MCC), Verified by Visa, J/Secure. Настройка авторизации банковских карт с чипом в POS-терминалах и банкоматах – только посредством авторизации через чип (т. е. запрет авторизации через магнитную полосу).
3. Использование банковских карт с чипом.
6.7.4.3.10. Дополнительная фиксация фактов проведения крупных операций (например, на сумму свыше 1 млн руб.) с помощью дополнительных технических средств.
1. Сканирование документов. Например, при получении клиентом суммы свыше 1 млн руб. может производиться дополнительное сканирование страницы паспорта клиента с фотографией (с возможным отображением на экране АБС одновременно двух сканов – сделанного при открытии счета и предъявленного сейчас). Скан должен сохраняться с датой и местом создания и данными сотрудника, его создавшего.
2. Видеозапись. Например, при получении клиентом суммы свыше 1 млн руб. может автоматически производиться видеозапись в фоновом режиме с веб-камеры операциониста, изначально направленной в клиентскую сторону.
3. Фотографирование. Например, при оформлении клиенту кредита осуществляется его фотографирование.
6.7.4.3.11. Банк обеспечивает централизованный учет всех ИТ-систем и закрепляет каждую ИТ-систему за соответствующим владельцем.
По каждой ИТ-системе банк назначает департамент (владельца ИТ-системы), который отвечает за организацию и осуществление эффективной работы в этой системе. Все доработки ИТ-системы, формирование методологических документов осуществляются по инициативе владельца ИТ-системы, который при необходимости привлекает иных экспертов внутри банка, формирует бизнес-требования, контролирует их исполнение. Владельцем ИТ-системы не может быть назначено ИТ-подразделение (если только ИТ-подразделение не является исключительным пользователем такой системы).
Банк ведет соответствующую матрицу полномочий (таблицу), в которой каждая ИТ-система распределена на каждое ответственное подразделение.
6.7.4.4. Сервисная среда обслуживания ИТ-архитектуры и технологий банка.
Банк обеспечивает сервисную среду, которая поддерживает эффективность ИТ-архитектуры и технологий банка, а также её соответствие стратегическим целям банка. Для этого назначается ответственное подразделение, которое:
• разрабатывает порядок назначения целевой ИТ-архитектуры и технологий банка, организует её определение на горизонт 5 лет (с учетом стратегических целей банка и инициатив подразделений), разрабатывает соответствующий план-график внедрения или модернизации систем и технологий с учетом планируемых изменений на горизонт 5 лет и контролирует его исполнение;
• разрабатывает порядок ввода / упразднения / сопровождения систем;
• организует сопровождение систем и их необходимые доработки;
• координирует внедрение ИТ-системы учета систем и их связей; координирует использование этой системы;
• ежемесячно готовит отчет для рассмотрения на заседании комитета по рискам о деятельности по поддержанию ИТ-архитектуры и технологий банка, а также о значимых изменениях в структуре, причинах этих изменений, ближайших планах и прогнозах;
• организует исполнение иных требований п. 6.7.4.
6.7.4.5. ИТ-архитектура банка формируется для обеспечения его продуктов и процессов банка (см. п. 6.7.2). Все изменения ИТ-архитектуры определяются продуктово-процессной структурой, планами её изменения, плановыми значениями объемов продуктов, объемов операций и должны согласовываться с подразделением, указанным в п. 6.7.2.2 на соответствие этим планам.
6.7.5. Стандарты целевой структуры нормативных документов банка
Банк выделяет следующие виды внутренних нормативных документов (ВНД):
• ВНД однократного пользования (приказы, распоряжения и другие документы текущего характера);
• ВНД многократного пользования (политики, регламенты, методики и пр.);
• бланки документов и отчетов (внутренних и внешних).
6.7.5.1. Особые условия построения структуры нормативных документов банка определяются в п. 6.7.2.1.
6.7.5.2. Сервисная среда построения структуры нормативных документов банка определяются в п. 6.7.2.2.
Менеджмент операционных рисков должен быть зрелым, системным и скоординированным. Это возможно при наличии план-графика (дорожной карты) как минимум на один год вперед. Руководитель подразделения по операционным рискам должен сформировать этот план-график и представить руководству (в рамках презентации) для его согласования и утверждения.
Желательно, чтобы такой график состоял из разделов, пунктов и подпунктов с указанием сроков (с диаграммой Ганта), ответственных, ресурсов и прочих характеристик. Есть множество программных инструментов такого планирования (например, MS Project), в т. ч. с удобной опцией «схлопывания» детализированной информации.
Такой план целесообразно представлять руководству банка в виде верхнеуровневого план-графика с диаграммой Ганта (с сохранением готовности «расхлопывать» те этапы, по которым могут возникнуть вопросы).
В качестве разделов такого графика можно предложить нижеследующие пункты.
1. Первоочередные неотложные действия:– экспресс-аудит эффективности управления операционными рисками; – экспресс-аудит рисков наиболее значимых процессов и их устранение.
2. Запуск базовых механизмов управления операционными рисками (ОР):– общая отчетность для регулярной оценки ОР; – утверждение политики правления ОР.
3. Координация команды централизованного управления ОР:– Отдел координации инцидент менеджмента в подразделениях; – Отдел по выявлению и устранению рисков; – Отдел раннего предупреждения рисков.
4. Поэтапная легализация кураторов ОР в департаментах и регионах:– учет кураторов ОР;– обучение кураторов ОР; – организация рабочего взаимодействия с кураторами ОР.
5. Запуск всех компонентов управления ОР:– № 1. Эффективная работа с инцидентами. – № 2. Выявление рисков и их устранение. – № 3. Система раннего предупреждения рисков. – № 4. Обеспечение непрерывности деятельности. – № 5. Координация работы всех департаментов в управлении рисками. – № 6. Система отчетов и прогнозов, поддержание базы рисков. – № 7. Контроль соблюдения стандартов минимизации рисков.
6. Внедрение автоматизированной системы управления ОР:– проведение тендера; – формирование договора и приложений (бизнес-требований); – интеграция системы и наполнение ее справочниками; – тестирование и подписание актов; – подготовка инструкций и обучение персонала; – ступенчатый ввод в эксплуатацию (по регионам, по департаментам).